Mobile OAuth刷新令牌是否是移动设备标识符的有效/安全替代方案_Mobile_Oauth_Oauth 2.0

Mobile OAuth刷新令牌是否是移动设备标识符的有效/安全替代方案

mobile oauth oauth-2.0

Mobile OAuth刷新令牌是否是移动设备标识符的有效/安全替代方案,mobile,oauth,oauth-2.0,Mobile,Oauth,Oauth 2.0,作为移动应用程序的相对n00b，我主要是一名后端开发人员我们正在构建一个移动应用程序，并且有一个业务要求，即用户的设备必须唯一标识并在后端注册（即，用户可以安装应用程序，但要访问服务，他们需要在我们的后端服务中注册该设备，并且可以同时注册的设备数量限制为X台）前端团队目前已经创建了一个从移动设备提取唯一设备ID的功能，但安全团队也告诉我们，设备ID被视为敏感信息，我们不应该通过有线传输此信息撇开加密可以应用于设备ID不谈，我一直在考虑设备ID的替代方案。我们使用OAuth进行身份验证，在有

作为移动应用程序的相对n00b，我主要是一名后端开发人员

我们正在构建一个移动应用程序，并且有一个业务要求，即用户的设备必须唯一标识并在后端注册（即，用户可以安装应用程序，但要访问服务，他们需要在我们的后端服务中注册该设备，并且可以同时注册的设备数量限制为X台）

前端团队目前已经创建了一个从移动设备提取唯一设备ID的功能，但安全团队也告诉我们，设备ID被视为敏感信息，我们不应该通过有线传输此信息

撇开加密可以应用于设备ID不谈，我一直在考虑设备ID的替代方案。我们使用OAuth进行身份验证，在有效注册结束时，将生成OAuth访问和刷新令牌。由于刷新令牌被认为是长寿命的，并且安全地（假定）存储在客户端，因此刷新令牌可以用作设备ID的替代品吗？这一策略是否存在已知漏洞？根据文档，刷新令牌应该是“长寿命”的，但具体寿命有多长？